La version brésilienne du RGPD devrait être appliqué à partir du 16 août 2020. Cette loi sur la confidentialité des données va obliger de nombreux acteurs du web à s’adapter à cette nouvelle réglementation, qui est directement inspirée du modèle européen en vigueur.
La LGPD, la loi générale sur la protection des données au Brésil, présente des similitudes avec le RGPD européen. © Sashkin – stock.adobe.com
C’est une petite révolution qui se dessine au Brésil. Une nouvelle loi pour la protection des données personnelles va entrer en vigueur le 16 août 2020 : il s’agit de la LGPD (pour « Lei Geral de Proteção de Dados »). Son objectif : déterminer la manière dont les entreprises collectent, traitent et divulguent les données personnelles des utilisateurs résidant au Brésil.
Pourquoi maintenant ?
Alors que l’Europe et la France ont depuis longtemps pris des mesures pour la protection des données personnelles, avec la création de la Commission Nationale Informatique et Liberté (CNIL) en 1978 ou encore le Règlement Général sur la Protection des Données (RGPD) et son application par l’Union Européenne le 25 mai 2018, le Brésil ne s’était jusque-là que peu préoccupé de ce sujet. Les nouvelles normes européennes, qui interdisent le transfert des données des Européens en dehors de l’UE, notamment vers des pays ne garantissant pas le respect de la réglementation européenne en vigueur, ont incité les autorités du pays à prendre de nouvelles mesures.
En quoi l’entrée en vigueur de la LGPD est-elle importante ?
Concrètement, la version brésilienne du RGPD vise à unifier plus de 40 statuts différents, qui réglementent les données personnelles des Brésiliens. Si la loi générale sur la protection des données a officiellement été lancée en août 2018, cette dernière devait déjà entrer en vigueur en février dernier. Ce nouveau délai, repoussé au 16 août 2020, pourrait de nouveau être remis en cause. Des discussions sont toujours en cours au sein du gouvernement brésilien, preuve que ce sujet devrait avoir des impacts lourds sur l’ensemble du marché. Autre point de désaccord : la création d’une autorité en charge d’interpréter et d’appliquer la loi sur la protection des données. Sa dépendance vis-à-vis du gouvernement est actuellement contestée.
Qui est concerné par la LGPD ?
Parmi les similitudes entre la LGPD brésilienne et le RGPD européen, la nouvelle loi s’applique aux entreprises qui traitent les données personnelles des utilisateurs résidant au Brésil, peu importe le lieu de domiciliation de ces organisations. Si les clients de votre entreprise sont situés sur ce territoire, votre activité devra être conforme au LGPD d’ici le 16 août 2020. À noter que la loi brésilienne applique sa nouvelle réglementation sur tous les types de données personnelles, qu’elles soient digitales ou non. Cela signifie qu’elle prendra également en compte les renseignements fournis sur des documents manuscrits, comme des registres physiques.
Que risque une entreprise si elle ne respecte pas la LGPD ?
Le respect de la confidentialité des données personnelles des utilisateurs étant un enjeu majeur à l’échelle mondiale, autant pour les entreprises que pour les États chargés de les protéger, les amendes liées à leur non-conformité sont généralement très élevées. Dans le cas du RGPD, elles peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, pour le montant le plus élevé. Au Brésil, l’amende maximale est nettement moins sévère : 2 % du chiffre d’affaires du dernier exercice, dans la limite de 50 millions de réaux (soit environ 8 millions d’euros). Le reste de la grille est plus conforme aux amendes du RGPD en ce qui concerne les infractions les moins graves.
Quel est l’impact pour les acteurs du web, comme Google et Facebook ?
Les acteurs du numérique sont dans le viseur de la loi générale sur la protection des données au Brésil. En premier lieu, Google, qui enregistre à lui seul environ 95 % des recherches Internet effectuée sur le territoire. La firme américaine, qui a dû s’adapter au RGPD puis, plus récemment, à la loi sur la protection des données personnelles du consommateur en Californie (CCPA), se prépare désormais à l’entrée en vigueur de la LGPD brésilienne.
Nous nous engageons à accompagner les annonceurs, les éditeurs et nos autres partenaires pour les aider à garantir leur conformité avec la loi LGPD. Nous leur offrirons l’assistance dont ils ont besoin pour effectuer cette transition le plus facilement possible (…). À compter du 16 août 2020, nous modifierons les conditions existantes afin d’y inclure des dispositions supplémentaires spécifiques à la loi LGPD. Le rôle de Google en tant que responsable du traitement ou sous-traitant sera le même que celui défini pour le RGPD. Les dispositions de la loi LGPD seront intégrées dans nos conditions existantes sur la protection des données », assure Google sur sa plateforme publicitaire.
Google tient à rassurer ses utilisateurs : aucune action sera requise pour se conformer aux dispositions de la LGPD, « si les modalités existantes de protection des données font déjà partie de votre contrat ».
De son côté, Facebook, qui compte plus de 2,6 milliards d’utilisateurs dans le monde, annonce avoir mis à jour depuis le 1er juillet 2020 ses conditions générales de traitement des données, afin d’aider les entreprises à mieux gérer leur conformité lors de leur utilisation des produits commerciaux du groupe. D’autres actions sont mises en place sur le réseau social.
À partir d’aujourd’hui, nous demanderons aux Brésiliens qui utilisent Facebook l’autorisation d’utiliser certains types de données, telles que les données avec des protections spéciales sous LGPD. Nous ajoutons également un nouvel avis de confidentialité du Brésil à nos politiques de données sur Facebook et Instagram, qui incluent plus de contexte sur le LGPD et comment les utilisateurs peuvent exercer leurs droits en vertu de la loi, précise Paula Vargas, responsable de la politique de confidentialité de Facebook en Amérique latine dans un communiqué.
Comme pour Google, aucune action ne sera demandée aux entreprises qui publient des annonces sur les plateformes du groupe Facebook lorsque la LGPD entrera en vigueur le 16 août 2020.
À lire également
Privacy Shield invalidé par la justice européenne : quel impact sur les transferts de données vers les USA ?
Recevez par email toute l’actualité du digital
